所属的技术人员能够理解,本发明的各个方面可以实现为系统、方法或程序产品。因此,本发明的各个方面可以具体实现为以下形式,即:完全的硬件实施方式、完全的软件实施方式(包括固件、微代码等),或硬件和软件方面结合的实施方式,这里可以统称为“电路”、“模块”或“系统”。下面参照图7来描述根据本发明的这种实施方式的电子设备500。图7显示的电子设备500仅仅是一个示例,不应对本发明实施例的功能和使用范围带来任何限制。如图7所示,电子设备500以通用计算设备的形式表现。电子设备500的组件可以包括但不限于:至少一个处理单元510、至少一个存储单元520、连接不同系统组件(包括存储单元520和处理单元510)的总线530、显示单元540等。其中,所述存储单元存储有程序代码,所述程序代码可以被所述处理单元510执行,使得所述处理单元510执行本说明书上述云主机的网络隔离方法部分中描述的根据本发明各种示例性实施方式的步骤。例如,所述处理单元510可以执行如图4或图5中所示的步骤。所述存储单元520可以包括易失性存储单元形式的可读介质,例如随机存取存储单元(ram)5201和/或高速缓存存储单元5202,还可以进一步包括只读存储单元(rom)5203。所述存储单元520还可以包括具有一组(至少一个)程序模块5205的程序/实用工具5204,这样的程序模块5205包括但不限于:操作系统、一个或者多个应用程序、其它程序模块以及程序数据,这些示例中的每一个或某种组合中可能包括网络环境的实现。总线530可以为表示几类总线结构中的一种或多种,包括存储单元总线或者存储单元控制器、外围总线、图形加速端口、处理单元或者使用多种总线结构中的任意总线结构的局域总线。电子设备500也可以与一个或多个外部设备600(例如键盘、指向设备、蓝牙设备等)通信,还可与一个或者多个使得用户能与该电子设备500交互的设备通信,和/或与使得该电子设备500能与一个或多个其它计算设备进行通信的任何设备(例如路由器、调制解调器等等)通信。这种通信可以通过输入/输出(i/o)接口550进行。并且,电子设备500还可以通过网络适配器560与一个或者多个网络(例如局域网(lan),广域网(wan)和/或公共网络,例如因特网)通信。网络适配器560可以通过总线530与电子设备500的其它模块通信。应当明白,尽管图中未示出,可以结合电子设备500使用其它硬件和/或软件模块,包括但不限于:微代码、设备驱动器、冗余处理单元、外部磁盘驱动阵列、raid系统、磁带驱动器以及数据备份存储系统等。通过以上的实施方式的描述,本领域的技术人员易于理解,这里描述的示例实施方式可以通过软件实现,也可以通过软件结合必要的硬件的方式来实现。因此,根据本公开实施方式的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是cd-rom,u盘,移动硬盘等)中或网络上,包括若干指令以使得一台计算设备(可以是个人计算机、服务器、或者网络设备等)执行根据本公开实施方式的上述云主机的网络隔离方法。本领域技术人员在考虑说明书及实践这里公开的发明后,将容易想到本公开的其它实施方案。本技术旨在涵盖本公开的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本公开的一般性原理并包括本公开未公开的本中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本公开的真正范围和精神由所附的权利要求指出。
背景技术:
1、云办公零终端系统以其较高的安全性,在高涉密行业已经有了较为广泛的应用。在云办公零终端系统中,主要包括零终端-r端、虚拟-s端及云主机;其中,r端用于接收来自云端的虚拟桌面图像,同时将本地鼠标和键盘信息反向传输到云端,s端则是运行在云端虚拟操作系统中的图像采集和编码模块。
2、现有的云主机中,用户主机的使用网络与s端的数据传输网络是同一个网络环境。这样就可能导致,用户在使用云主机的过程中,一旦r端遭遇网络攻击,沿着网络链路s端也会受到攻击,进而致使用户的云主机被网络攻击,从而造成数据泄密或勒索。因此,有必要改善上述相关技术方案中存在的一个或者多个问题。
3、需要说明的是,在上述背景技术部分公开的信息仅用于加强对本公开背景的理解,因此可以包括不构成对本领域普通技术人员已知的现有技术的信息。
技术实现思路
1、本公开实施例的目的在于提供一种云主机的网络隔离系统及方法,进而至少在一定程度上克服由于相关技术的限制和缺陷而导致的一个或者多个问题。
2、根据本公开实施例的第一方面,提供一种云主机的网络隔离系统,该系统包括:
3、编码卡,用于图像数据的编码及数据的传输,所述编码卡设有网络接口,所述网络接口用于与零终端建立网络连接并进行数据的交互;
4、设置于服务器本地的第一接口,所述第一接口用于通过pcie通道与所述编码卡中的数据进行传输;
5、设置于虚拟端的第二接口,所述第二接口用于与所述第一接口进行数据间的交换。
6、本公开的一种示例性实施例中,该系统还包括服务软件模块,所述服务软件模块用于进行所述第一接口、所述第二接口之间的数据的转发,以及所述第一接口、所述编码卡之间的数据转发。
7、本公开的一种示例性实施例中,所述第一接口与所述第二接口间通过用户进程进行数据的交换。
8、本公开的一种示例性实施例中,所述第一接口与所述第二接口的数据协议格式包括协议头部信息、数据类型、数据传输方法、有效负载数据长度以及有效数据。
9、本公开的一种示例性实施例中,所述编码卡包括主板接口,用于将所述编码卡插在云主机上。
10、本公开的一种示例性实施例中,所述主板接口为pcie插槽。
11、本公开的一种示例性实施例中,所述第一接口为私有接口及私有协议。
12、本公开的一种示例性实施例中,所述第二接口为私有接口及私有协议。
13、根据本公开实施例的第二方面,提供一种云主机的网络隔离方法,该方法包括:
14、位于虚拟端的第二接口采集图像数据,将所述图像数据发送至设置于服务器本地的第一接口;
15、所述第一接口通过pcie通道将所述图像数据传输至编码卡中;
16、所述编码卡对所述图像数据进行编码处理后,发送至零终端进行解码显示。
17、根据本公开实施例的第三方面,提供一种云主机的网络隔离方法,该方法包括:
18、编码卡通过网络接口接收零终端发送的反向注入的数据信息;
19、所述编码卡通过pcie通道将所述数据信息发送至设置于服务器本地的第一接口;
20、所述第一接口将所述数据信息发送至位于虚拟端的第二接口。
21、本公开的实施例提供的技术方案可以包括以下有益效果:
22、本公开的实施例中,通过上述系统及方法,整个云主机的数据传输网络被分成了两部分,编码卡和零终端之间通过网络接口通信,可以是广域网;而编码卡和服务器本地之间则通过pcie通道这种局域网进行数据的传输。如此,当零终端遭遇网络攻击后,沿着广域网的链路,最多攻击到编码卡,而云主机网络为局域网,并不会遭受到数据的破坏。因此,本公开提供的云主机的网络隔离系统及方法在一定程度上降低了云主机被网络攻击的风险。
23、应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本公开。
1.一种云主机的网络隔离系统,其特征在于,包括:
2.根据权利要求1所述云主机的网络隔离系统,其特征在于,还包括服务软件模块,所述服务软件模块用于进行所述第一接口、所述第二接口之间的数据的转发,以及所述第一接口、所述编码卡之间的数据转发。
3.根据权利要求1所述云主机的网络隔离系统,其特征在于,所述第一接口与所述第二接口间通过用户进程进行数据的交换。
4.根据权利要求3所述云主机的网络隔离系统,其特征在于,所述第一接口与所述第二接口的数据协议格式包括协议头部信息、数据类型、数据传输方法、有效负载数据长度以及有效数据。
5.根据权利要求1所述云主机的网络隔离系统,其特征在于,所述编码卡包括主板接口,用于将所述编码卡插在云主机上。
6.根据权利要求5所述云主机的网络隔离系统,其特征在于,所述主板接口为pcie插槽。
7.根据权利要求1所述云主机的网络隔离系统,其特征在于,所述第一接口为私有接口及私有协议。
8.根据权利要求1所述云主机的网络隔离系统,其特征在于,所述第二接口为私有接口及私有协议。
9.一种云主机的网络隔离方法,其特征在于,包括:
10.一种云主机的网络隔离方法,其特征在于,包括:
